lunes, 5 de marzo de 2018

El regreso de un viejo conocido


Si hubiera un concurso de popularidad para malware sin duda ransomware se llevaría el primer lugar. Un rápido atisbo de las noticias e incluso algunas de mis entradas a este blog muestran que este mal ocupa el tiempo de los profesionales de seguridad informática.

Sin embargo, siempre hay otros tipos de ataques igualmente severos y sería peligroso desestimar esta realidad. Un vector conocido, pero a veces relegado son los ataques de negación de servicio o DoS (Denial of Service por sus siglas en inglés). Como su nombre lo indica, DoS simplemente niega el acceso a un servicio en particular.

Hoy en día el servicio más común es un sitio web, pero un ataque DoS se puede dar contra un servidor de correo o sistemas de administración. Al final el resultado es que el usuario legítimo no puede acceder los servicios que necesita.

Desafortunadamente para nuestra profesión realizar un ataque DoS es relativamente sencillo. Este hecho se da porque existe el fenómeno de amplificación. En términos generales amplificación funciona de esta manera: el adversario envía datos a dispositivos en Internet que previamente ha identificado con la dirección IP de origen de la víctima y estos realizan el ataque.

¿Cómo es posible personificar a una víctima? En el mundo de redes esto es conocido como IP spoofing. Herramientas de libre distribución como Scapy permiten construir un paquete TCP/IP con los atributos y valores que uno quiera. Uno de esos atributos es la dirección IP y quien construye el paquete TCP/IP puede usar cualquier dirección de origen, en este caso la dirección IP del sistema a atacar.

Otra característica común es que el paquete original enviado es relativamente pequeño y su tamaño es de solo unos bytes. Una vez se envía este paquete a una multitud de destinos con una sola dirección falsa de origen (la de la víctima), estos destinatarios responderán a la víctima y no a quien originó el ataque.

Además, estos paquetes de datos contienen algún error o tipo de datos que obliga al dispositivo que lo recibe a responder con un paquete de datos más grande (debe recordarse que el dispositivo no responderá al atacante sino a la víctima).

El sistema víctima entonces recibe cientos o miles de paquetes de gran tamaño que consume recursos de procesador o memoria. Luego, el sistema víctima tratará de responder a los dispositivos que le enviaron datos y estos a su vez responderán con un paquete más grande. Este círculo vicioso continua hasta que el sistema no es capaz de responder o el ancho de banda utilizado es tan grande que simplemente no hay más acceso a Internet.

Capturar o identificar un alto número de destinatarios es hoy posible por la omnipresencia del llamado Internet de las Cosas (Internet of Things, IoT). Las cámaras de vídeo vigilancia como Ring o Blink  son de relativo bajo costo y hoy miles de hogares tienen sistemas de este tipo, pero a veces conectados directamente a Internet. Son este tipo de dispositivos que los atacantes han identificado previamente y magnifican la capacidad del atacante.

Dada estas características, un ataque DoS no requiere sistemas sofisticados ni poderosos y para empeorar la víctima nunca sabrá quién le atacó. En una próxima entrega esta breve descripción de un ataque DoS servirá para explicar el ataque contraGithub que sucedió el primero de marzo.